Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1528 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

strange packets

aloisius
maybe someone around can give me a hint:

when i access the packet filter live-log, i can find various entries that are blocked. i´m quite happy with that, cos i defined a very hard line with the packet filters - HTTP, HTTPS, DNS and SMTP are allowed, anything else goes to the blackhole.

i pasted an example of yesterdays log (my LAN is in the 10.x.x.x-area, 10.0.0.254 is my internal AD-server with DNS, IIS, SQL  and Exchange on it). what packets are filtered here ... ?


 [ QUOTE ]
 
20:07:52 81.10.170.7 4208 -> 81.10.216.196 1433 TCP 48 125 DF WINDOW=65535 RES=0x00 SYN URGP=0 
20:08:05 10.0.0.254 48795 -> 255.255.255.255 712 UDP 20 59 128 
20:08:20 10.0.0.254 48818 -> 255.255.255.255 712 UDP 20 59 128 
20:08:21 10.0.0.94 138 -> 10.0.0.255 138 UDP 20 209 30 
20:08:35 10.0.0.254 48836 -> 255.255.255.255 712 UDP 20 59 128 
20:08:50 10.0.0.254 48856 -> 255.255.255.255 712 UDP 20 59 128 
20:08:51 10.0.0.94 138 -> 10.0.0.255 138 UDP 20 209 30 
20:09:05 10.0.0.254 48873 -> 255.255.255.255 712 UDP 20 59 128 
20:09:09 10.0.0.93 138 -> 10.0.0.255 138 UDP 20 209 60 
20:09:20 10.0.0.254 48892 -> 255.255.255.255 712 UDP 20 59 128 
20:09:21 10.0.0.94 138 -> 10.0.0.255 138 UDP 20 209 30 
20:09:27 10.0.0.201 138 -> 10.0.0.255 138 UDP 20 213 128 
20:09:35 10.0.0.254 48912 -> 255.255.255.255 712 UDP 20 59 128 
20:09:50 10.0.0.254 48927 -> 255.255.255.255 712 UDP 20 59 128 

 

[/ QUOTE ] 

i guess, the system doesnt slow down, when it has to block a few packets, does it?


This thread was automatically locked due to age.
  • 0
    The packetfilter was dropping  broadcast packets.
  • 0 in reply to bce
    [ QUOTE ]
    The packetfilter was dropping  broadcast packets. 

    [/ QUOTE ]

    sorry for my lack of knowlage - is this good or bad?
  • 0 in reply to aloisius
    somethimes people want them to be allowed somethimes they better should be dropped and so on. (broadcast packet attacks, etc.)
    for time or traffic based lines it was often a mistake years ago that thay weren't blocked and so machines in microsoft networks where causing unwanted traffic with this broadcast packets.
  • 0 in reply to bce
    I had the same problem with dropped broadcast packets cluttering up the packet filter logs. I added explicit Pass rules to allow Microsoft-SMB and netbios traffic from Internal network to Internal Broadcast (they are still denied across the firewall, but now I don't see then swamping the logs just because purely internal traffic was  seen on the wire).